苹果OS X Yosemite系统中的安全功能

苹果OS X Yosemite(10.10)来了,让我们来看看它为我们提供了哪些安全视角。苹果实际上专辟了一个页面,专门讨论OS X的安全性,此页面的文字说明冗长 - 非常长,但易读易懂。唯一遗憾的是,其中并没有多少内容与新功能相关。 首先,苹果声明说安全性是”首要考虑因素”。这种说法在当今受到用户的极度追捧。事实上应该是一贯如此,但并非所有开发者都会在构建产品之初就将安全性考虑在内。苹果是这么做的,至少它是这么说的。 涉及的大多数安全工具都有具体名称 - Gatekeeper、FileVault等等。虽说给工具起名字算是一种推广手段,但确实也让人顾名思义,用户一看就知道工具的用途。下面让我们挨个了解下这些安全工具。 Gatekeeper 这不算是一项新工具(OS X Mountain Lion 10.8中已经有此工具),它用于保护Mac不受恶意软件的攻击,也能避免”从互联网下载行为不当的应用”。这个工具的用途和行为与Windows的用户帐户控制(UAC)非常类似。简而言之,Gatekeeper会检查从非Mac App Store下载的应用是否具有正确的开发商标识。如果没有,则不会启动此应用,除非更改相应设置。 默认情况下,Gatekeeper支持用户从Mac App Store下载应用,也支持下载具有开发者标识的应用。若没有开发者标识,则会阻止应用,但你可手动管控此设置。其他选项包括”任何来源”(最不安全)和”Mac App Store”(其他来源全部排除在外,是安全性最高的设置)。 FileVault 2 此安全工具用于对Mac电脑进行全驱动器加密,是通过XTS-AES 128加密方法来保护数据。苹果称初始加密速度快,可在后台执行,不影响工作。它还可加密任何可插拔驱动器,帮助用户保护Time Machine备份或其他外接驱动器。 RT @threatpost:

苹果OS X Yosemite(10.10)来了,让我们来看看它为我们提供了哪些安全视角。苹果实际上专辟了一个页面,专门讨论OS X的安全性,此页面的文字说明冗长 - 非常长,但易读易懂。唯一遗憾的是,其中并没有多少内容与新功能相关。

首先,苹果声明说安全性是”首要考虑因素”。这种说法在当今受到用户的极度追捧。事实上应该是一贯如此,但并非所有开发者都会在构建产品之初就将安全性考虑在内。苹果是这么做的,至少它是这么说的。

涉及的大多数安全工具都有具体名称 - Gatekeeper、FileVault等等。虽说给工具起名字算是一种推广手段,但确实也让人顾名思义,用户一看就知道工具的用途。下面让我们挨个了解下这些安全工具。

Gatekeeper

这不算是一项新工具(OS X Mountain Lion 10.8中已经有此工具),它用于保护Mac不受恶意软件的攻击,也能避免”从互联网下载行为不当的应用”。这个工具的用途和行为与Windows的用户帐户控制(UAC)非常类似。简而言之,Gatekeeper会检查从非Mac App Store下载的应用是否具有正确的开发商标识。如果没有,则不会启动此应用,除非更改相应设置。

默认情况下,Gatekeeper支持用户从Mac App Store下载应用,也支持下载具有开发者标识的应用。若没有开发者标识,则会阻止应用,但你可手动管控此设置。其他选项包括”任何来源”(最不安全)和”Mac App Store”(其他来源全部排除在外,是安全性最高的设置)。

FileVault 2

此安全工具用于对Mac电脑进行全驱动器加密,是通过XTS-AES 128加密方法来保护数据。苹果称初始加密速度快,可在后台执行,不影响工作。它还可加密任何可插拔驱动器,帮助用户保护Time Machine备份或其他外接驱动器。

FileVault 2还支持用户擦除驱动器上的所有数据,这一过程分为两个阶段。第一阶段是停用Mac中的加密密钥,据苹果的说法是此阶段将使数据”完全无法访问。”接着进入第二阶段,即彻底擦除磁盘上的所有数据。在此之后,要想从被擦除的驱动器中恢复内容的人可有的事做了。这对于保护敏感数据,避免数据落入不法之徒手中之手是一种非常有用的方法。下面一个工具的大名是…

远程擦除

此工具支持用户删除Mac上的所有个人数据,并将Mac恢复到出厂设置,这适用于未经用户许可而”易主”的Mac电脑。较温和的选项是远程设置密码锁。

#苹果OS X# #Yosemite# 中的 #安全功能#

通过iOS设备上的iCloud.com和”查找我的iPhone”,用户能够在地图上找到自己丢失的Mac。如果查找的Mac处于脱机状态,则一旦连到Wi-Fi后,用户会立即收到消息。另外还有一个选项是在屏幕上显示消息,其中包含如何物归原主的信息。

密码

Safari浏览器配备了密码生成器,能够为您的在线帐户创建高强度密码。另外,还有存储您的登录名和密码(以及信号卡信息)的iCloud钥匙串,钥匙串采用256位AES加密。iCloud还支持用户在各个苹果设备上同步所有用户名和密码 - Mac、iPhone、iPad和iPod touch。

这种自动填充选项只有一个缺点:如果不法分子有机会乘你不在时使用你的Mac,则可能导致严重后果。因此,强烈建议用户在”安全性与隐私”设置中,应用”停用自动登录”。

隐私控制

这些选项支持(或不支持)特定应用请求获取你的位置数据,并解释了”定位服务”可能会如何影响隐私。另外还有一些特定的”可访问性”选项卡,用户能够允许特定应用来”控制计算机”(这显然和Windows的做法类似,在Windows中某些应用,特别是合法应用会请求”以管理员身份运行”设置才能运行)。应用是否具有这些权限由用户来决定。虽然这不一定会影响到隐私本身,但无疑这是值得一提的额外安全功能。

苹果正沿着正确的方向发展,致力于提高OS X的 #安全性#。

实际上,苹果可能在隐私方面做得还不止这些:在Yosemite系统上,默认情况下,会向苹果和第三方报告用户的当前位置(城市级别)和其所有搜索查询,界面类似Spotlight。要禁用此功能,应该在”系统偏好设置”>”Spotlight”>”搜索结果”中禁用”Spotlight建议”和”Bing网络搜索”。”Spotlight建议”还需要在Safari设置中单独禁用。

反钓鱼

此工具(实际上很早就已经引入了)已安装到位。网络钓鱼问题越来越常见,需要专门的应用措施来解决,此工具是苹果专门提供的一个不错解决方案。

防火墙

这是一款基础工具,通过此工具,用户能够接受或拒绝经由应用连到Mac的连入连接。但它无法提供出站防火墙保护,所以按理说应该安装更可靠的防火墙。

沙箱和内核级保护技术

下面要谈谈苹果的沙箱技术,此功能最早是在Mac OS X Lion 10.7中引入的,沙箱是一种隔离环境,专门用于隔离可能对系统有害的应用。有意思的是,OS X在Safari中提供的沙箱保护的是内置PDF查看器和插件,例如Adobe Flash Player、Silverlight、QuickTime和Oracle Java,全部都是最易受攻击和利用的软件。

另外,OS X还为Mac App Store、信息、日历、通讯录、词典、字体册、Photo Booth、快速查看预览、备忘录、提醒事项、Game Center、邮件和FaceTime等应用提供沙箱技术保护。

在此,我们还有内核级运行时保护功能:它内建于处理器XD(执行禁用)功能,可”在用户数据的内存和用于可执行指令的内存之间建立强大隔离墙”。据苹果公司的说明,这样做可以防止恶意软件试图欺骗过Mac,让它以处理程序的相同方式来处理数据,从而达到入侵系统的目的。

此外,地址空间布局随机化(ASLR)会用于内核使用的内存,随机安排每个程序关键数据区的位置。此技术通过加大攻击者预测目标地址的难度,来防范特定攻击(如缓冲区溢出)。苹果在Mac OS X Leopard 10.5中为系统库引入了随机化,在2012年7月推出Mountain Lion 10.8时将其扩展到了整个系统。所以此项功能已经落实。

根据上面列出的功能,可以说苹果付诸了大量努力使OS X更安全,而且显而易见,苹果会继续朝着这个方向努力。这表明了苹果正沿着正确的方向发展,致力于解决网络安全问题,通过各种手段和工具来减少可能的攻击面,包括基本和高级工具。但这并不意味着这是”万无一失”的受保护操作系统 - 很遗憾,世界上根本就不会存在这样的系统。另外,随着Mac用户人数的增多,专门以OS X为目标的攻击威胁的数量也随之上升。这肯定会吸引犯罪分子的注意力,他们在不停地寻找苹果的漏洞,偶然间可能会发现一个。

保护安卓系统:最佳安全性十大小贴士

运用一打iOS安全设置来保护移动设备听起来似乎不算麻烦。那么安卓系统呢?问题在于安卓移动操作系统貌似与iOS并无二异,但实际上却有很大的差别。安卓系统作为一种开源系统,使用灵活,正是这种特性让它在移动市场上独占鳌头,但同时也是导致碎片化问题的根源,这已经是如今人们频频讨论的一个话题了。 要区分在Nexus系统设备、三星/索尼/HTC智能手机上运行的安卓版本和在中国各种品牌机上运行的安卓版本非常简单。但有一些通用小贴士可确保安卓设备更安全,其中许多也同样适用于iOS系统。 当然,假设日常体验中存在折中做法,但在这种情况下,你得决定是使用舒适第一还是安全性第一。最终,用户总能在便利性和安全性两者之间找到最佳平衡点,并至少应该遵循下面列出的部分小贴士。 1.只从Google Play Store下载应用 实际上,安卓系统最”危险”的部分并不在操作系统本身,而在用户可以安装的应用上。相对于iOS,在安卓系统上自行安装应用或者”借助”其他用户的帮助来安装应用超级简单。但切勿从第三方平台和网站下载应用:这类应用很可能已被感染。更容易的办法是在设置中彻底禁用从第三方下载功能,并部署集成的应用安全检查。另外,还应拒绝root访问权限,因为授予此权限会使遇到被感染应用的风险大大上升。 好处所在:显著降低遇到恶意应用的机会。 设置方法:转至”设置”->”安全性”,取消选中”未知来源”框,选中”验证应用”。 2.小心应用权限 首先,应该只安装知名开发商提供的应用,或者安装Google推荐的应用。其次,每次安装应用时应该检查应用访问权限,了解应用要求有权访问哪些内容。如果壁纸应用或游戏要访问你的帐户、SMS、话筒、所在位置,或者要使用无限上网,那就非常可疑。 好处所在:显著降低遇到恶意应用的机会 设置方法:安装应用时,屏幕上会列出所有权限,在应用页面的底部还会有”查看权限”链接。如果已安装可疑的应用,请转至”Google设置”->”启用应用”,然后禁用不想运行的应用。 3.使用高强度密码 这是更加”全能型”的小贴士。用于解锁手机的密码应该使用复杂密码,而不是PIN码或图形码。最佳做法是使用至少包含10个字符的密码,其中含大小写混合字母、数字和符号。但每次解锁手机时,要输入许多符号并不方便,所以你应该多试几个密码,找到安全性高又方便使用的密码。密码应该定期更改。此外,请设置最短闲置时间,在此时间后启用锁定;另外还请禁用输入密码时显示密码的选项。注意,许多应用也利用了基于密码的安全性。 好处所在:显著减少他人访问你手机及上面内容的机会。 设置方法:转至”设置”->”安全性”->”屏幕锁定”,并选择”密码”作为锁屏方式。接着转至”设置”->”安全性”,并取消选中”显示密码”框。 4.加密数据 这非常简单!如果对手机上的数据加密,则没人能够访问这些数据,就算手机丢掉或被偷也不会发生数据泄露。最好是选择自己的密码,而不要使用PIN码,因为在目前的安卓版本中,加密只能基于密码/PIN码,并且加密强度只与密码强度息息相关。安卓5.0应该会改进此功能。 好处所在:在设备丢失时可防范数据外泄 设置方法:转至”设置”->”安全性”->”加密手机”,并另外选中”加密存储卡”。 5.小心Wi-Fi连接 默认情况下,安卓会尝试连接到你访问过的所有无线网络。对于某个开放接入点,很可能这并不是你使用的热点,而是网络犯罪分子创建的恶意热点。考虑到这点,首先请避免尝试接入公共热点,其次,对手机记住的Wi-Fi网络列表定期进行审核。此外,请禁用默认搜索开放的无线连接。 好处所在:降低意外连到潜在恶意Wi-Fi网络的机率。 设置方法:转至”设置”->”Wi-Fi”,按住记住的热点名称以调用菜单,通过此菜单可删除该网络;转至”高级设置”,并取消选中”始终搜索无线网络” 6.总是使用VPN 此贴士对于使用公共热点或不信任网络连接时非常管用。使用VPN能保护所传输的数据,同时(作为奖励)支持你访问在公共网络上因某种原因受限的资源。如今,可靠的VPN访问价格不再那么昂贵,最新型号的家用路由器都有自己的VPN服务器,你可以完全免费使用VPN访问。最好是使用L2TP或OpenVPN,它们提供的保护比广泛使用的PPTP要更可靠。为了防止在建立VPN连接之前数据外泄,请务必记得使VPN”始终启用”,或者禁用自动同步应用。 好处所在:加密流入和流出的数据。 设置方法:转至”设置”,在”无线连接和网络”中选择”更多…”-> VPN,在上下文菜单中,选中”始终启用VPN”,并选择连接;自动同步可以在”设置”->”帐户”中禁用。

提示